平台
nodejs
组件
@fastify/express
修复版本
4.0.5
4.0.5
CVE-2026-33807 是 @fastify/express v4.0.4 中发现的一个严重的安全漏洞,它涉及路径处理错误,导致认证绕过。此漏洞允许攻击者绕过 Express 中间件的安全控制,影响到使用共享前缀的子插件范围内的所有路由。受影响的版本包括 @fastify/express ≤4.0.4。已发布 4.0.5 版本来修复此漏洞。
CVE-2026-33807 存在于 @fastify/express v4.0.4 的 onRegister 函数中的路径处理错误。此函数负责插件注册,当子插件继承时,会错误地复制中间件路径。因此,对于与父插件范围内的中间件共享前缀的子插件范围内的所有路由,Express 的中间件安全控制将被完全绕过。无需特殊配置——这会影响默认的 Fastify 配置。CVSS 得分为 9.1,表明严重程度为关键。这种路径复制允许绕过安全限制,从而可能为恶意攻击打开大门。
攻击者可以通过创建具有与父插件中注册的中间件共享前缀的路由的子插件来利用此漏洞。由于路径复制,应用于父插件中间件的安全保护将不会应用于子插件的路由,从而允许攻击者绕过这些保护并可能访问未经授权的资源或功能。易用性和潜在影响证明了 CVSS 的高严重性评级。
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
此漏洞的解决方案是将 @fastify/express 升级到 4.0.5 或更高版本。此版本更正了 onRegister 函数中的路径处理错误,防止中间件路径复制,并恢复 Express 安全控制的正确应用。强烈建议尽快应用此更新以降低被利用的风险。此外,请检查子插件的配置,以确保没有使用任何易受攻击的路由,尽管升级到已修复的版本仍然是主要的补救措施。
Actualice a la versión 4.0.5 o superior de @fastify/express para corregir la vulnerabilidad. Esta actualización soluciona un error en el manejo de rutas que permitía eludir los controles de seguridad de Express, como la autenticación y la autorización, en plugins secundarios.
漏洞分析和关键警报直接发送到您的邮箱。
这意味着相同的中间件路径被注册两次,从而导致应用于第一个实例的安全保护不应用于第二个实例。
检查您正在使用的 @fastify/express 的版本。如果是 v4.0.4 或更早版本,则您的应用程序容易受到攻击。
虽然不建议这样做,但请仔细检查子插件的配置,以识别潜在的易受攻击的路由,并采取额外的安全措施。
目前没有用于检测此漏洞的特定工具,但建议进行安全审计和渗透测试。
CVSS (Common Vulnerability Scoring System) 是评估漏洞严重程度的标准。9.1 的分数表示需要立即注意的关键漏洞。
CVSS 向量